Výukový program API: Získejte ověření ORCID iD

Vývojářům doporučujeme otestovat veřejné API v sandbox testovací server před použitím produkční verze. Níže jsou uvedeny kroky, jak se zaregistrovat pro veřejné přihlašovací údaje API v prostředí Sandbox i Production.

• Přihlaste se do svého ORCID záznam:
  Produkční server: https://orcid.org/signin
  Testovací server izolovaného prostoru: https://sandbox.orcid.org/signin
• Klikněte na své jméno v pravém horním rohu
• klikněte Vývojářské nástroje z možnosti nabídky
  Poznámka: Abyste měli přístup k vývojářským nástrojům, musíte ověřit svou e-mailovou adresu. Pokud jste dosud neověřili svou e-mailovou adresu, budete k tomu v tomto okamžiku vyzváni.
• Klikněte na „Registrovat zdarma ORCID veřejné API “

• Po zobrazení výzvy si přečtěte podmínky služby a přijměte je.
  

Zaregistrujte aplikaci

• Po odsouhlasení podmínek služby budete přesměrováni zpět do Vývojářských nástrojů (https://orcid.org/developer-tools or https://sandbox.orcid.org/developer-tools). Vyplňte předložený formulář a zaregistrujte novou žádost.
  • Jméno a Příjmení: Název vaší aplikace. Toto se zobrazí uživatelům, když udělí vaší aplikaci oprávnění k získání jejich ORCID iD a zobrazí se v jejich Seznam důvěryhodných organizací. Doporučujeme použít název vaší organizace nebo služby (např. Název deníku).
  • webová stránka: Web, který může uživatel navštívit, aby se dozvěděl více o vaší aplikaci. Toto se zobrazí v jejich Seznam důvěryhodných organizací.
  • Popis: Informace o aplikaci, kterou vyvíjíte, a o tom, jak ji budete používat ORCID iD. Toto se zobrazí uživatelům na obrazovce OAuth.

• Přesměrování URI: URI pro použití s ​​protokolem OAuth 2.0 - to jsou umístění, na která budou vaši uživatelé posláni po udělení povolení klienta k získání jejich ORCID iD.
  
  Veřejné aplikace API musí mít zaregistrovaný alespoň jeden URI přesměrování a URI musí začínat https. Pro testování můžete automaticky přidat URI Google OAuth Playground kliknutím na „+ Google OAuth2 Playground“ pod Test URI přesměrování nebo ORCID Public API Swagger kliknutím na „+ORCID veřejné rozhraní naparování “.
  Pro více informací viz O přesměrování URI.
• Kliknutím na ikonu Uložit v dolní části formuláře vygenerujete přihlašovací údaje rozhraní API.

• Chcete-li zobrazit přihlašovací údaje rozhraní API, klikněte na Zobrazit podrobnosti.

• Vaše přihlašovací údaje API - klient ID a Client Secret - jsou zobrazeny těsně pod vašimi přesměrovanými URI. Pod vašimi pověřeními jsou ukázkové adresy URL a volání API s předvyplněnými přihlašovacími údaji.

Použijte své přihlašovací údaje

Nyní, když máte svá pověření, je čas začít používat ORCID Veřejné API!

Můžeš vyžádat si přihlašovací údaje člena API v karanténě k sestavení a otestování vaší aplikace. Tyto přihlašovací údaje vám umožňují volat rozhraní API člena sandboxu, aby bylo možné číst, zapisovat a aktualizovat ORCID evidence. Přístup do testovacího prostředí karantény je volně k dispozici komukoli, i když nejste ORCID členské organizace.

Poznámka: Pokud používáte systém jiného výrobce, který již podporuje ORCID, možná nebudete muset registrovat pověření sandbox API. 

Sandbox umožňuje vytvářet testovací uživatelské účty a rozvíjet integraci, aniž byste se museli starat o ovlivnění dat naživo (produkce) ORCID Registr. Sandbox se chová stejně jako výroba ORCID Registrovat se několik výjimek.

Vytvoření testovacího účtu

Za účelem testování rozhraní ORCD API a volání API, jako je čtení a přidání informací do ORCID záznamu, budete také muset vytvořit test ORCID záznam v karanténě. To lze provést pomocí uživatelského rozhraní, podobně jako ve výrobě ORCID Registr. Jít do https://sandbox.orcid.org/register a zaregistrujte se pro účet.

Sandboxový server odesílá e-maily s upozorněním pouze na adresu Mailinator (@ mailinator.com) e-mailové adresy, aby nedocházelo k nechtěnému spamování poštovních serverů. Pokud nepoužijete adresu @ mailinator.com, neobdržíte ověřovací e-mail ani oznámení o resetování hesla. Pokud chcete provádět jakékoli ruční úpravy záznamů izolovaného prostoru, je vyžadováno ověření. Pokud si nepřejete použít a Mailinator adresu, poznamenejte si prosím své uživatelské jméno a heslo (protože je budete používat k udělení autorizace vaší aplikaci při testování) a kontaktujte nás a požádejte o pomoc s ověřením.

Mailinator je bezplatná služba, kterou neřídí ani neudržuje ORCID. Před použitím těchto adres doporučujeme zkontrolovat, jak tato služba funguje a její omezení. 

Existují různé možnosti registrace identifikátorů URI přesměrování s pověřeními klienta. Vezměte prosím na vědomí, že všechno URI přesměrování pro vaše produkční pověření musí být https. 

Zaregistrujte plně všechny identifikátory URI přesměrování
To je to, co je doporučeno v registračním formuláři a co dělá většina třetích stran.

Zaregistrujte pouze název hostitele
Pokud je klientská aplikace registrována s přesměrováním URI, které je pouze názvem hostitele, lze použít libovolné přesměrování URI u daného hostitele. Například pokud je zaregistrována následující adresa URL přesměrování: https://thirdparty.com

pak budou fungovat všechny následující redirect_uris:

https://thirdparty.com/oauth/callback1
https://thirdparty.com/callback2
https://thirdparty.com/anything-else-as-long-as-the-host-is-the-same

Pokud se rozhodnete, že by tento přístup mohl fungovat pro vás - můžete identifikátory URI zpracovat tak, že zaregistrujete všechny identifikátory URI přesměrování v jedné z vašich domén a poté znovu přesměrujete do příslušné domény.

Zaregistrujte vůbec žádný přesměrovaný uris (pouze karanténa)
Pokud je klientská aplikace nakonfigurována bez redirect_uris, lze použít libovolnou redirect_uri. To je méně bezpečné než zadání redirect_uris. Redirect_uris poskytuje další úroveň zabezpečení, protože brání tomu, aby někdo používal odcizené pověření klienta někoho jiného (protože bychom se nikdy nepřesměrovali na jeho doménu - museli by také mít kontrolu nad DNS uživatele, aby to obešli!). Z důvodu možných rizik povolujeme tuto možnost pouze v rozhraní Sandbox API.

Při registraci pro přihlašovací údaje, pokud si nepřejete registraci požadavku na přesměrování URI “žádné přesměrování URI“V poli poznámek.

Pokud používáte členské rozhraní API a požadujete jakékoli změny svých identifikátorů URI přesměrování, obraťte se prosím na náš Engagement Team.

Mějte na paměti, že přesměrování jsou volitelná data jako součást výměny kódu OAuth. Pokud je zahrnut identifikátor URI přesměrování, musí přesně odpovídat tomu, který byl použit v autorizační adrese URL. Další informace naleznete v našich dalších FAQ v této kategorii.

ORCID integrace používají „3 legged OAuth“ k autentizaci uživatelů a vyžádání povolení k interakci s jejich záznamy. Jakákoli integrace může požádat o oprávnění ke čtení pomocí veřejného rozhraní API. ORCID Členové mohou pomocí rozhraní API člena požádat o oprávnění k aktualizaci. Funguje to takto:

• Vytvoříte speciální odkaz
• Po kliknutí je uživatel odeslán na adresu ORCID
  • ORCID požádá uživatele o přihlášení
  • ORCID požádá uživatele o udělení povolení vaší aplikaci
  • ORCID odešle uživatele zpět do vašeho systému s autorizačním kódem
• Váš systém vymění tento kód za přístupový token

Přizpůsobená autorizační adresa URL obsahuje informace o vašem klientovi a také „obory“, které specifikují konkrétní oblasti jejich záznamu, ke kterým chcete přistupovat. Po přihlášení uživatel autorizuje připojení k vašemu systému a je spolu s autorizačním kódem vrácen na vaši vstupní stránku. Tento kód se poté používá k získání jejich ORCID iD spolu s přístupovým tokenem platným pro požadované obory.

Vytvořte autorizační odkaz a získejte a autorizační kód

Autorizační odkaz vytvoříte zadáním klienta pověření API ID a související vstupní stránka (přesměrování URI). Nastavením zvolíte, o která oprávnění budete žádat parametr oboru.

Níže uvedený příklad požaduje povolení ke čtení dat s omezeným přístupem na webu ORCID sandbox testovací server. V reálném světě zobrazíte tento odkaz na svém webu nebo jej zahrnete do e-mailu, když budete žádat uživatele o ověření a autorizaci. Pro účely testování jej však můžete jednoduše vložit do svého webového prohlížeče. Nahraďte data v závorkách údaji o klientovi a odstraňte hranaté závorky!

https://sandbox.orcid.org/oauth/authorize?client_id=[Your client ID]&response_type=code&scope=/read-limited&redirect_uri=[Your landing page]

Jeden uživatel klikl na odkaz a přihlásil se na ORCID a udělená oprávnění jsou přesměrováni zpět na váš web, například takto:

https://[Your landing page]?code=Q70Y3A

Vyměňte autorizační kód za ORCID iD a přístupový token

Okamžitě byste měli vyměnit autorizační kód za ORCID iD a přístupový token. Autorizační kód vyprší po použití. Žádost vypadá takto a nelze provést ve webovém prohlížeči, musí být provedeno vaším serverem.

 URL=https://sandbox.orcid.org/oauth/token
  HEADER: Accept: application/json
  HEADER: Content-Type: application/x-www-form-urlencoded
  METHOD: POST
  DATA: 
    client_id=[Your client ID]
    client_secret=[Your client secret]
    grant_type=authorization_code
    code=Six-digit code
    redirect_uri=[Your landing page]

ORCID poté vrátí ověřeného výzkumného pracovníka ORCID iD a přístupový token ve formátu JSON:

{"access_token":"f5af9f51-07e6-4332-8f1a-c0c11c1e3728","token_type":"bearer",
"refresh_token":"f725f747-3a65-49f6-a231-3e8944ce464d","expires_in":631138518,
"scope":"/read-limited","name":"Sofia Garcia","orcid":"0000-0001-2345-6789"}

Ve výchozím nastavení mají přístupové tokeny dlouhou životnost a jejich platnost vyprší 20 let po vydání. Token lze použít několikrát, než vyprší jeho platnost.

Použijte přístupový token

Třínohé přístupové tokeny jsou propojeny s konkrétními ORCID záznam. Chcete-li je použít, zahrňte je do požadavků API, které zadáte ke čtení nebo aktualizaci tohoto záznamu.

Implicitní OAuth je odlehčená verze OAuth určená k použití v systémech, které nemají nebo nechtějí používat komponenty na straně serveru. Implicitní OAuth lze implementovat zcela v prohlížeči pouze pomocí JavaScriptu. Je k dispozici pro členy i nečleny a funguje takto:

• Vytvoříte speciální odkaz
• Po kliknutí je uživatel odeslán na adresu ORCID
  • ORCID požádá uživatele o přihlášení
  • ORCID požádá uživatele o udělení povolení vaší aplikaci
  • ORCID pošle uživatele zpět do vašeho systému s jeho ORCID iD, přístupový token a id žeton.
• Váš systém extrahuje a ukládá ověřené ORCID iD z odpovědi.

Z bezpečnostních důvodů při použití implicitního OAuth ORCID nevrátí přístupové tokeny s oprávněním k aktualizaci.

Implicitní tok

Implicitní tok je navržen tak, aby klienti nemuseli k zahájení používat svůj tajný klíč ORCID přihlásit se. Zabezpečení je vynuceno omezením klientů na jejich registrované redirect_urls. Tato nižší úroveň zabezpečení to znamená ORCID podporuje pouze obory / authenticate a openid při použití implicitního toku. Tokeny jsou také krátkodobé s 10minutovou životností. Tento postup se doporučuje pro klientské aplikace, které nemají přístup k serveru typu back-end, například aplikace pro telefon nebo jednostránkové webové aplikace v jazyce JavaScript.

https://localhost/#access_token=24c11342-f5da-4cf9-94a4-f8a72a30da00&token_type=bearer&expires_in=599&tokenVersion=1&persistent=false&id_token=eyJraWQiOiJxYS1vcmNpZC1vcmctcjlhZmw3cWY2aGNnN2c5bmdzenU1bnQ3Z3pmMGVhNmkiLCJhbGciOiJSUzI1NiJ9.eyJhdF9oYXNoIjoiMW52bXZBbVdwaVd0Z3ZKZW1DQmVYUSIsImF1ZCI6IkFQUC02TEtJSjNJNUIxQzRZSVFQIiwic3ViIjoiMDAwMC0wMDAyLTUwNjItMjIwOSIsImF1dGhfdGltZSI6MTUwNTk4Nzg2MiwiaXNzIjoiaHR0cHM6XC9cL29yY2lkLm9yZyIsIm5hbWUiOiJNciBDcmVkaXQgTmFtZSIsImV4cCI6MTUwNTk4ODQ2MywiZ2l2ZW5fbmFtZSI6IlRvbSIsImlhdCI6MTUwNTk4Nzg2Mywibm9uY2UiOiJ3aGF0ZXZlciIsImZhbWlseV9uYW1lIjoiRGVtIiwianRpIjoiY2U0YzlmNWUtNTBkNC00ZjhiLTliYzItMmViMTI0ZDVkNmNhIn0.hhhts2-4-ibjXPW6wEsFRaNqV_A-vTz2JFloYn7mS1jzQt3xuHiSaSIiXg3rpnt1RojF_yhcvE9Xe4SOtYimxxVycpjcm8yT_-7lUSrc46UCt9qW6gV7L7KQyKDjNl23wVwIifpRD2JSnx6WbuC0GhAxB5-2ynj6EbeEEcYjAy2tNwG-wcVlnfJLyddYDe8AI_RFhq7HrY4OByA91hiYvHzZ8VzoRW1s4CTCFurA7DoyQfCbeSxdfBuDQbjAzXuZB5-jD1k3WnjqVHrof1LHEPTFV4GQV-pDRmkUwspsPYxsJyKpKWSG_ONk57E_Ba--RqEcE1ZNNDUYHXAtiRnM3w

Podívejte se na naši technická dokumentace Pro více informací.

OpenID Connect 1.0 je jednoduchá vrstva identity nad protokolem OAuth 2.0. Doplňuje stávající toky ověřování OAuth a poskytuje klientům informace o uživatelích dobře popsaným způsobem.

OpenID connect je standardizovaný způsob implementace OAuth a sdílení informací o ověřených uživatelích. Nyní bude možné nakonfigurovat služby k použití ORCID „Out of the box“ spolu s dalšími standardy kompatibilními poskytovateli připojení OpenID. OpenID connect také umožňuje sdílení ID tokeny, což jsou podepsané objekty, které mohou prokázat ověření uživatele pomocí ORCID v určitou dobu. Tyto tokeny mohou být použity prvky uživatelského rozhraní k udržování uživatelských relací.

ORCID podporuje základní profil shody poskytovatele OpenID, což je rozšíření toku autorizačního kódu OAuth. ORCID také podporuje tok implicitních tokenů pro obory „/ authenticate“ a „openid“.

To znamená, že ORCID:

• Vložení podepsáno id tokeny v rámci odpovědí na tokeny pro autorizační kódy generované s rozsahem „openid“
• Podporuje implicitní tok při použití 'token' nebo 'token id_token' response_types a 'openid' oboru.
• Podporuje parametry „prompt“, „nonce“ a „max_age“ pro žádosti o autorizaci, které zahrnují obor „openid“.
• Podporuje zjišťování Openid Connect a koncové body userinfo
• Podporuje pole 'amr' pro integrátory používající členské API pro žádosti o autorizaci, které zahrnují obor 'openid'. To lze použít k zjištění, zda se uživatel ověřil pomocí dvoufaktorového ověřování.

Zahájení ověřování OpenID Connect funguje stejně jako běžné ověřování OAuth. Vyžaduje se pouze to, aby klient požadoval obor „openid“. Pokud používáte obor / authenticate, nahraďte jej rozsahem openid, protože autentizace a openid mají stejnou autorizaci, měla by být použita pouze jedna nebo druhá. Pokud používáte jiné obory, přidejte openid do seznamu požadovaných oborů. Když je zahrnut rozsah openid, registr vrátí id_token uvnitř odpovědi tokenu a udělí klientovi oprávnění pro přístup k koncovému bodu s informacemi o uživateli pro daného uživatele.

Všimněte si, že obor 'openid' nezačíná znakem '/' jako ten druhý ORCID Rozsahy API. Je to proto, že obor „openid“ není definován ORCID, ale místo toho definováno specifikací OpenID Connect.

Podívejte se na naši technická dokumentace Pro více informací.

ORCID poskytuje jednoduchý Widget Java Script které lze použít k získání ověřeného ORCID ID používající OAuth s OpenID Connect.

Vezměte prosím na vědomí, že widget používá implicitní OAuth, takže neshromažďuje žádná oprávnění k zápisu. To znamená, že není vhodný pro integrace členů, kteří chtějí aktualizovat záznamy. Přečtěte si prosím náš návod pro Přidávání a aktualizace dat na ORCID evidence.